CVE-2024-3400 Уязвимост
От 26 март 2024 г. участниците в заплаха се възползват от новоразкрита уязвимост от нулев ден в софтуера PAN-OS на Palo Alto Networks. Наречена операция MidnightEclipse от изследователите, тази дейност се приписва на един единствен неидентифициран заплаха.
Уязвимостта, известна като CVE-2024-3400 и оценена с CVSS резултат от 10.0, е грешка при инжектиране на команда. Позволява на неупълномощени хакери да изпълняват произволен код с root привилегии на засегнатите защитни стени. Трябва да се отбележи, че този проблем засяга само конфигурации на PAN-OS 10.2, PAN-OS 11.0 и PAN-OS 11.1 с активиран шлюз GlobalProtect и телеметрия на устройството.
Съдържание
Нападателите експлоатират уязвимостта на CVE-2024-3400, за да доставят злонамерен софтуер със задна врата
Operation MidnightEclipse включва използване на уязвимостта за установяване на cron задача, която се изпълнява всяка минута, извличане на команди от външен сървър ('172.233.228.93/policy' или '172.233.228.93/patch') и изпълнението им чрез bash shell.
Съобщава се, че нападателите са контролирали ръчно списък за контрол на достъпа (ACL) за сървъра за командване и управление (C2), гарантирайки, че само комуникиращото устройство има достъп до него.
Въпреки че точната функция на командата остава неясна, се подозира, че служи като механизъм за доставка на базирана на Python задна врата, наречена UPSTYLE от изследователи, проследяващи експлоатацията на CVE-2024-3400. Тази задна вратичка се хоства на отделен сървър ('144.172.79.92' и 'nhdata.s3-us-west-2.amazonaws.com').
Файлът на Python е проектиран да създава и изпълнява друг скрипт на Python ('system.pth'), който на свой ред декодира и стартира вградения компонент за задната врата, отговорен за изпълнението на командите на заплахата. Резултатите от тези операции се регистрират във файл с име „sslvpn_ngx_error.log“, докато друг файл с име „bootstrap.min.css“ записва допълнителна дейност.
Нападателите се стремят да извлекат чувствителна информация от заразени устройства
Забележителен аспект на веригата на атаката е използването на легитимни файлове, свързани със защитната стена както за извличане на команди, така и за регистриране на резултати:
- /var/log/pan/sslvpn_ngx_error.log
- /var/appweb/sslvpndocs/global-protect/portal/css/bootstrap.min.css
За да запише команди в регистрационния файл за грешки на уеб сървъра, актьорът на заплахата създава специфични мрежови заявки, насочени към несъществуваща уеб страница с конкретен модел. Впоследствие задната врата сканира регистрационния файл за редове, съответстващи на предварително дефиниран регулярен израз ('img[([a-zA-Z0-9+/=]+)]'), за да декодира и изпълни вградени команди.
Освен това скриптът създава нова нишка за изпълнение на функция, наречена „възстановяване“. Тази функция възстановява оригиналното съдържание и времето за достъп/модифициране на файла bootstrap.min.css след 15-секундно закъснение, като ефективно изтрива следите от командните изходи.
Основната цел изглежда е минимизиране на доказателствата за изпълнение на команда, което изисква ексфилтриране на резултатите в рамките на 15 секунди преди презаписването на файла.
Изследователите са наблюдавали заплахата да използва дистанционно защитната стена, за да създаде обратна обвивка, да придобие допълнителни инструменти, да проникне във вътрешни мрежи и в крайна сметка да извлече данни. Точният обхват на кампанията остава неясен. Актьорът е наречен UTA0218, демонстрирайки усъвършенствани възможности и бързо изпълнение, което е показателно за опитен актьор за заплаха с предварително дефинирана стратегия за постигане на целите си.
Първоначално UTA0218 се фокусира върху придобиване на резервни DPAPI ключове на домейн и насочване към идентификационни данни на активна директория за получаване на файла NTDS.DIT. Те също се опитаха да компрометират потребителските работни станции, за да откраднат запазени бисквитки, данни за вход и DPAPI ключове.
На организациите се препоръчва да следят за признаци на вътрешно странично движение.
CISA предупреждава за уязвимостта CVE-2024-3400
Развитието около уязвимостта CVE-2024-3400 подтикна Агенцията за киберсигурност и сигурност на инфраструктурата (CISA) на САЩ да включи пропуска в своя каталог с известни експлоатирани уязвимости (KEV), задължавайки федералните агенции да прилагат корекции за смекчаване на потенциални заплахи.
Насочването към крайни устройства остава предпочитан вектор за атака за квалифицирани участници в заплахи, които се нуждаят от необходимото време и ресурси, за да проучат нови уязвимости.
Като се имат предвид ресурсите, необходими за разработване и използване на такава уязвимост, естеството на целевите жертви и демонстрираните способности за инсталиране на задната врата на Python и проникване в мрежи на жертви, много вероятно е UTA0218 да е държавен заплаха.
